it-swarm-tr.com

Tam sabit sürücü şifrelemesi ve önyükleme öncesi kimlik doğrulaması ile çoklu önyükleme

Tam sabit disk şifreleme ve önyükleme öncesi kimlik doğrulamayı destekleyen bir çoklu önyükleme sistemini nasıl kurarım.

Ubuntu, Windows 7, Windows XP yüklü bir sistemim var ve Red Hat kurmak istiyorum. Grub 2 önyükleme yükleyicisini kullanıyorum. Önyükleme öncesi kimlik doğrulaması ile tam sürücü şifrelemesi için bu yazılımı hangi yazılım destekleyebilir? TrueCrypt for Windows önyükleme öncesi kimlik doğrulaması var, ancak grub 2 ile Nice oynayacak mı? Linux tarafı için başka hangi disk şifreleme yazılımlarını kullanabilirim?

26
dabest1

Tüm bunları okumadan önce, bu tekniğin en az 5 yaşında olduğunu unutmayın - muhtemelen şu ana kadar çok daha kolay (diğer cevaplara bakın). (Ama bunların hepsini anlamak eğlenceliydi.)

Bunu birkaç yıl önce tüm karmaşıklıkların birbirine nasıl uyduğunu göstermek için Fedora 10 ve Windows Vista ile yaptım. Biraz ilgiliydi (çoğunlukla Windows Vista "diğerleriyle iyi oynamadı" ve ikinci olarak yüklenmeyi sevmediği için), ama sonunda bana uygun bir yöntem buldum. Durumunuz daha karmaşık çünkü 3 mevcut işletim sisteminiz var ve sürücünüze bir tane daha eklemek istiyorsunuz.

Bunu 4 işletim sisteminin büyüklüğünde hiç denemediğim için, çoğunu size bırakacağım (gerçek yeniden bölümleme ve benzeri) ve genel güvenlik ilkelerini deneyimlerimden almaya ve senin durumun. Ayrıca, benim durumumda, sildiğim bir sürücüde sıfırdan başladığımı da unutmayın. Bu bir uzman teşhirinden daha çok bir deneydi ... bu yüzden "tuz" (zımbayla amaçlanmayan) tane ile birkaç şey alın ve beni sorumlu tutmayın. :)


Unutmayın, bunlar sadece notlarım. Bunları durumunuza göre ayarlamanız gerekecektir. İşte başlıyoruz:

Burada açıklanan yöntemle aşılan sorunlar

  • Dizüstü bilgisayarımın sabit diskinde yalnızca 4 birincil bölüm bulunabilir.

  • Birincil bölümler yalnızca işletim sistemlerinin yüklenebildiği bölümlerdir (Windows, zaten).

  • Birincil bölümler, sistemin önyükleme yapabileceği tek bölümdür

  • Her genişletilmiş bölüm birincil bölüm olarak sayılır.

  • 6 veya 7 bölüm gerekebilir.

  • TrueCrypt, birden çok bölüm, işletim sistemi ve çeşitli dosya sistemlerine sahip bir sürücünün tamamını yalnızca bir bilgisayarda çalıştığında şifreleyemez

  • TrueCrypt, Grub veya Windows dışındaki herhangi bir önyükleme yükleyicisiyle iyi çalışmıyor.

  • Windows ilk olarak ve yalnızca "önyüklenebilir" olarak işaretlenmiş bir bölüme yüklenmeyi sever (veya hiçbir bölüm "önyüklenebilir" olarak işaretlenmemişse)

Sonunda faydaları

  • İlk önyükleme yükleyicisi İstemi'nden sonra, çeşitli şifreli bölümlerin montajı komut dosyalarıyla otomatikleştirilebilir. (<3 Truecrypt)

  • Dosyalar şifreli işletim sistemleri arasında paylaşılabilir (şifre ile).

  • Her bölüm şifrelenir, hatta takas dosyası bile.

Önyükleme yükleyicileri birlikte nasıl çalışır?

  • MBR'ye Windows'un varsayılan önyükleme yükleyicisini yükleyip kullanırız. Bilgisayar ilk önce önyükleme yapacak.

  • GRUB (Fedora’nın önyükleme yükleyicisi) yükledik, ancak MBR için değil. Bu yalnızca daha sonra önyükleme yapabilmemiz için mevcut olacak.

  • Windows önyükleme yükleyicisini devralan TrueCrypt'i yüklüyoruz. TrueCrypt’in önyükleme yükleyicisi MBR'ye girer. Önyükleme sırasında, kullanıcı TrueCrypt ile kimlik doğrulaması yapar ve ardından Vista veya Linux (aslında GRUB) seçeneğinin kullanılabilir olduğu Windows önyükleme yükleyicisine götürülür.

  • Sonunda, önyükleme sürecim şöyle görünüyordu:

Diagram of full-disk encrypted dual-boot process

Tam disk şifreli çift önyükleme işleminin diyagramı (sarı kutular şifreli bölümlerdir; asma kilitler başka bir güvenlik katmanıdır)

Durumunuz için olası ayarlamalar

  • Truecrypt'i Windows bölümlerini bağlamak dışında Linux tarafında kullanmadım. Yerel Linux şifreli bölümleri Windows'tan nasıl bağlayacağımdan emin değilim, bu yüzden kurulumum oldukça tek yönlü oldu. En azından Linux'unuzu şifrelemek için Truecrypt'i kullanmayı düşünebilirsiniz /home dizin ve yerel Linux şifreleme /swap bölümü, örneğin. Bu, Windows tarafındaki Truecrypt'in Linux dosyalarınızı monte etmesine izin verebilir.

  • Sabit sürücünüzü yerinde yeniden bölümleyin veya Red Hat için başka bir sürücü ekleyin. SuperUser adresindeki insanlar muhtemelen bu konuda daha fazla bilgi sahibi olurlar.

  • Sabit diskinizi önceden nasıl bölümlere ayıracağınızı belirleyin ... kullandığım kadar fazla bölüme ihtiyacınız yok.

Gereksinimler

  • Temizlemek istediğiniz en az bir sabit diske sahip bir bilgisayar (Önce verilerinizi elbette yedekleyin ...)

  • Kurmak istediğiniz işletim sistemlerinin kurulum diskleri

  • Gparted LiveCD veya LiveUSB

  • TrueCrypt

  • EasyBCD Windows önyükleme yükleyicisini değiştirmek için (Ücretsiz bir sürüm var ...)


Talimatlar

Verilerinizi yedekleyin. Sabit diski tamamen temizleyecek ve çok yakında yeniden biçimlendireceksiniz.

Tüm sürücüyü yeniden biçimlendirin. Bunu yapmak için Gparted LiveCD kullanıyorum. Gparted'ı kullanmak istemiyorsanız, Fedora 10’un yükleyicisi bir bölüm düzenleyicisiyle birlikte gelir. Ancak, biraz daha hileli. Fedora kurulumunu almak için kısmen tamamlamanız, değişiklikleri diske uygulamanız ve ardından kurulumdan çıkmanız gerekir çünkü Fedora ilk önce kurulmamalıdır. (Windows Vista’n bölüm düzenleyicisi yeterince güçlü DEĞİLDİR. Bunun için kullanamazsınız.) Gparted LiveCD veya LiveUSB kullanılmasını önemle tavsiye ederim.

Sürüşümü nasıl bölebileceğimi düşündüm ve bir süre sonra bununla geldim:

Partition map

TrueCrypt ile çift önyükleme Fedora 10 ve Windows Vista için bölüm düzeni

Keşke onları arkada farklı boyutlara getirseydim, ama istediğin gibi yapabilirsin. Her asma kilit şifrelenmiş bir bölümü belirtir. “TC” ile sarı asma kilitler Windows'ta TrueCrypt ile şifrelenir. Mavi olanlar Fedora tarafından şifrelenir. Gördüğünüz gibi, her bölüm -/boot bölümü hariç - şifrelenir. Kırmızı etiketli bölümler Windows içindir. Siyah Linux içindir.

Tamam, bu benim için çalışan bir kurulum. Temel olarak, şu şeyleri isteyeceksiniz:

  • Grub'u koymak için birincil önyükleme bölümü (Fedora'nın önyükleme yükleyicisi sizin için yükleyebilir) - Yaklaşık 50 ila 100 megabayt öneririm. Bölümleme sırasında bunu “önyüklenebilir” olarak işaretlemeyin - Windows şikayet edecektir.

  • Tüm "veri" veya "çeşitli" bölümleri tutmak için genişletilmiş bölüm. Bu işlem Fedora/home dizininizi (temelde Linux'un “Belgelerim” klasörü), Windows yedekleme bölümünü (isteğe bağlı) ve Linux takas dosyanızı (şiddetle tavsiye edilir) içerecektir. Takas dosyası en azından RAM'inizin kapasitesi kadar büyük olmalıdır.

  • Windows Vista'nın yükleneceği birincil bölüm.

  • Fedora 10'un yükleneceği birincil bölüm.

Sürücünüzü bu şekilde bölümlere ayırın ve uygun dosya sistemleriyle biçimlendirdiğinizden emin olun. Yukarıdaki tabloyu referans olarak kullanabilirsiniz.

Bölümlerinizin boyutlarını (sırayla) ve dosya sistemlerini yazın. İşletim sistemi yüklemeleri sırasında buna ihtiyacınız olacak.

Windows Vista'yı yüklemeye başlayın. Özel bir kurulum yapmak zorunda kalacaksınız. Windows yüklemesi için ayırdığınız birincil NTFS bölümünü seçin. Sabit disk sürücülerini, özellikle dizüstü bilgisayarlara yüklemeyi unutmayın. Windows kurulumunuz yaklaşık% 70 asılıysa, dizüstü bilgisayarınız için SATA sürücülerini kurmanız gerekir. Sürücüler yüklendikten ve doğru bölümü seçtikten sonra Windows'u yükleyin.

Windows yüklendikten sonra, normal şekilde önyükleme yapın ve kurulumu tamamlayın. Henüz şeyleri özelleştirmek için çok fazla zaman harcamayın. Çalışmaya başladıktan sonra, kapatın ve Fedora 10 DVD'sini takın. Buna önyükleme yapın ve Fedora'yı yükleyin. Ancak aşağıdakilere dikkat edin:

  • Bölümlendirme için özel düzen yapmayı seçtiğinizden emin olun. Fedora bir şeyleri silmek ve varsayılan olarak tercih edilen bölüm düzenini oluşturmak isteyecektir. Bunu yapmasına izin verme. Doğrudan geçerli bölüm bilgilerinizi görüntüleyebileceğiniz ve değiştirebileceğiniz bölüme gittiğinizden emin olun.

  • NTFS bölümlerini biçimlendirmeyin. Windows bunlardan birinde.

  • Küçük bölümün (100 MB?)/Boot olacağı montaj noktasını ayarladığınızdan emin olun. -“Biçim” i işaretleyin ve “ext3” ü seçin. Bu bölümü şifreleyemezsiniz.

  • / Home dizininiz için bölümün bağlama noktasını… tahmin ettiniz:/home. “Farklı biçimlendir” i işaretleyin ve “ext3 ″” ü seçin, ardından “Şifrele” seçeneğini seçin.

  • Takas dosyanız için bölümün bağlama noktasını/takas olarak ayarlayın. Linux onu biçimlendirmek zorunda kalacak ve elbette “Şifrele” yi seçmelisiniz.

  • Ana Fedora kurulumunuzun bölümünün bağlama noktasını “/” olarak ayarlayın. “Farklı biçimlendir” i işaretleyin ve “ext3 ″” ü seçin, ardından “Şifrele” seçeneğini seçin.

Devam etmeden önce, NTFS bölümlerinin hiçbirinin yanında onay işareti bulunmadığından emin olun. Eğer yaparlarsa, biçimlendirilirler ve baştan başlamanız gerekir. Devam et. Fedora, değiştirilen bölümlerdeki tüm verileri sileceği konusunda sizi uyaracaktır. Sorun yok. Şimdi şifrelerinizi de ayarlamanız gerekebilir. Devam et ve bunu yap.

Yakında size önyükleme yükleyicisini soracaktır. Buraya dikkatlice bas. GRUB önyükleme yükleyicisini MBR'ye yazmayın. “Önyükleme yükleyicisini/dev/sda1 ″ üzerine kurun (“ sda1 ″ farklı olabilir) - kutuyu işaretli tutun ancak tıklayın “Cihazı Değiştir” ve bunun yerine “önyükleme bölümünün ilk sektörü” nü seçin.

Bu adımdan sonra evde özgür olmalısınız. Yüklemeyi tamamlayın ve bilgisayarı yeniden başlatın. Doğrudan Windows'a önyükleme yapar.

Windows yüklendikten sonra EasyBCD'yi indirin ve yükleyin. Windows önyükleme yükleyicisini kolayca değiştirmesini istersiniz. Önyükleme yükleyicisine bir giriş ekleyin: "Giriş Ekle/Kaldır" ı tıklayın - "Linux" sekmesini seçin, açılır menüden "GRUB" u seçin ve akıllı bir ad verin. Fedora'yı değil, GRUB'u içeren bölümü seçin. Onay kutusunu işaretlemeyin.

Girişi ekleyin ve ardından yeniden başlatmayı deneyin. Artık Fedora veya Windows'a önyükleme yapabilmelisiniz! Windows'a yeniden önyükleme yapın ve aşağıdaki gibi şifreleyin:

TrueCrypt'i yükleyin ve yeni bir birim oluşturun. “Sistem bölümünü veya tüm sistem sürücüsünü şifrele” yi seçin. Bu noktadan sonra, uygun seçenekleri seçmeniz gerekecektir. Onları dikkatle okuyun! Tam diziyi hatırlamıyorum, ancak bir noktada “Çoklu önyükleme” belirtmeniz gerekiyor. Sonunda Windows'un önyükleme yükleyicisinin MBR'de olup olmadığını veya farklı bir önyükleme yükleyicisinin (GRUB gibi) kullanılıp kullanılmadığını soracaktır. Unutmayın: Windows’un önyükleme yükleyicisini kullanıyoruz (Truecrypt'in bunu "geçmesini" istiyoruz).

Birim oluşturma sihirbazını tamamladıktan sonra, sistemi “Test etmeniz” istenir. Sizin için yeniden başlatılacak. Parolanızı yazacağınız TrueCrypt önyükleme yükleyicisine önyükleme yapmalıdır. Bundan sonra, Linux veya Windows'a önyükleme yapabileceğiniz Windows önyükleme yükleyicisini yüklemelidir.

Buradan, Windows sistem bölümünü şifrelemeyi bitirin, ardından Windows için yaptığınız diğer NTFS bölümlerini şifrelemeyi unutmayın.

İşiniz bittiğinde Linux'a önyükleme yapmayı deneyin. Fedora'yı seçebileceğiniz veya fikrinizi değiştirebileceğiniz ve Windows'a geri dönebileceğiniz GRUB önyükleme menüsüne gitmelidir. Fedora önyükleme yaparken, şifrelenmiş bölümleri monte ederken şifreniz istenecektir .


Tl; dr (Çok uzun; okumadım)

İki işletim sistemi ile bunu düzeltmek için birkaç deneme yaptım ve EasyBCD, Truecrypt ve Gparted gibi yazılımların kullanımını kullandım, ama sonunda başarılı oldum ... 2 işletim sistemi için. 4. ile iyi şanslar Anahtar etkili bir şekilde planlamaktır. Bölümlerinizi doğru şekilde boyutlandırın ve biçimlendirin, ardından işletim sistemlerini doğru sırayla yükleyin. (Genellikle Windows önce gelir.)

PS. Hm, Daha basit bir çözüm için, tam olarak ne istediğinizi değil: sanal makinelerde 4 işletim sisteminin 3'ünü çalıştırmayı düşündünüz mü? Ana makineyi şifreleyebilir, böylece diğer 3'ü aynı anda koruyabilirsiniz. (Ve VHD dosyalarını kaybetme konusunda endişeleriniz varsa, konuk işletim sistemlerini de tamamen şifreleyebileceğinizi unutmayın.)

25
Matt

Güncelleme için Necro'd:

Bu artık çok daha kolay hale geldi; TrueCrypt'in en yeni sürümü Linux farkındadır ve çoklu bölümler ve GRUB içeren çift önyükleme şemalarına izin verir.

Tam talimatlar burada .

6
Steve

Önyükleme öncesi kimlik doğrulaması (PBA) size iki şekilde sağlanabilir:

  1. Yazılım sayesinde

Yalnızca yazılıma güvenmek istiyorsanız ve önyükleme öncesi kimlik doğrulaması gerekiyorsa, yani bir yazılım şifrelemeyi gerçekleştirir (işletim sistemlerini kurmadan veya işletimden önce) ve önyükleme öncesi kimlik doğrulama ortamını (PBA) kurar ve yönetir, böyle bir kurulum ve yazılım adları bulunabilir burada . Makalenin belirttiği gibi,

FDE sistemleri, anında şifreleme ve şifre çözme işlemini gerçekleştirmek için bazı işlemci (ve dolayısıyla güç) ek yükü içerir ve bunun etkisi, bireysel uygulamaların disk G/Ç miktarına bağlıdır. talep ediyoruz. Tipik e-posta ve ofis üretkenliği etkinlikleri gerçekleştiren kullanıcılar için performans etkisinin farkedilmesi olası değildir - ancak bilgisayarın ana işlemcisi ve FDE ürünü Intel'in AES- özelliğini desteklemediği sürece video işleme gibi çok yoğun veri gerektiren etkinlikler için önemli olabilir. Donanım hızlandırmalı şifreleme ve şifre çözme için NI talimatları.

Bu nedenle, başka bir çözüm donanım şifrelemesinden faydalanmak olacaktır.

. 2. donanım sayesinde

Burada Kendiliğinden Şifrelemeli Disk (SED) kullanabilir ve ATA güvenlik özelliklerini (TPM modülü gibi bir önyükleme öncesi kimlik doğrulamasına izin verir) kullanabilir veya TCG'nin OPAL (2.0) uyumlu bir SED'yi kullanabilir ve onunla birlikte kullanabilirsiniz. bunları kaldırabilen (çoğunlukla yalnızca Windows) yazılımlar. Microsoft bu tür sürücüler hakkında bir spesifikasyon yaptı, bakınız burada , bu nedenle Windows 8'e yükseltme yaptıysanız ve gereksinimleri yerine getirdiyseniz, BitLocker sürücünüzü başlatır ve şifreleme anahtarlarını yönetirken üzerine bir PBA kurar.

Örneğin, işletim sistemlerinizi Crucial M500 SSD'ye kopyalayabilir/yeniden yükleyebilir ve WinMagic'in SecureDoc bağımsız yazılımını veya Windows 8 BitLocker'a yükselttiyseniz. Ardından, istediğiniz herhangi bir şemayı izleyerek diğer işletim sistemlerinizi yükleyebilirsiniz.

Ancak, donanım şifrelemesi bir tür kara kutu olduğundan ve onu uygulayan üreticiye güvenmeniz gerektiğinden dikkatli olun. Libre yazılımı henüz OPAL uyumlu sürücüleri yönetemediğinden, libre olmayan yazılımlar için de aynı şey geçerlidir.

1
neitsab

Linux genişletilmiş bir bölüm içindeki mantıksal bir bölüme kurulabilir (genişletilmiş bölüm içindeki mantıklardan önyüklemeyi reddeden Windows).

Birincil bölüm içeriğine dokunmadan bir genişletilmiş içindeki bir mantık içinden nasıl önyükleme yapılır:

Varsayalım: Genişletilmiş bölümün içinde bölme boşluğunuz var) ve işi yapmak için SystemRescueCD gibi bir LiveCD'den önyükleme yapın, doen HDD genişletilmiş bölümün içindeki mantıksal bölümden önyükleme yaptıktan sonra ... bunu yapabilen Grub2 önyükleyici sayesinde hile yapılır , genişletilmiş bir bölümden önyükleme yapabilir.

  • Grub2 ve GParted olan SystemRescueCd gibi herhangi bir LiveCD'yi önyükleyin (bölüm oluşturma GUI arayüzü için)
  • Genişletilmiş bölümün içinde ext4 biçiminde (veya Grub2'nin desteklediği herhangi bir başka) mantıksal bir bölüm oluşturun (GParted kullanıyorum)
  • Şimdi konsoldan/boot gibi bir bölüm monte edin ve grub2 ile grub2-install/dev/sda # (burada # bölümün numarasıdır)
  • Bir metin düzenleyici ile /boot/grub/grub.cfg dosyasını oluşturun (örnekler için internete bakın)
  • Yeniden başlatın, LiveCD'yi çıkarın
  • PC MBR'den önyükleme yapacak (genişletilmiş bölümlerden bahsediyoruz, burada GPT'nin bir anlamı yok), Grub2'yi genişletilmiş içindeki mantıksal bölümden yükleyecek ve bundan sonra Linux'u yükleyebilir/eklentinin içindeki başka bir mantıksal bölüme ikamet edebilir bölüm.

Dahası, pencereleriniz yoksa (sadece bir veya daha fazla Linux'unuz varsa en iyisi) herhangi bir birincil bölüme gerek yoktur, tüm Linux'ları mantıksal bölümler içinde, yalnızca% 100'ünü alan tek bir genişletilmiş bölümle havalandırabilirsiniz. HDD.

Not: Belki BSD ve diğer işletim sistemleri de mantıksal bölümler içinde olabilir, üzerlerinde deneyimim yok, üzgünüm!

Büyük hile: Grub2 önyükleyici 0, 1, 2 veya 3 birincil bölüme sahip mantıksal bölümlerin içinden önyükleme yapabilir, ayrıca ikinci bir HDD varsa ikinci HDD'ye zincir yükü yapabilir, ayrıca ikinci HDD'yi sanki önce (drivemap komutuyla), vb.

Aşağı tarafı: TrueCrypt/VeraCrypt encripted Windows nasıl önyüklendiğini emiyor ... diskin 0'ı kendi verileriyle izlemeye zorlar, bu yüzden İki veya daha fazla Windows veya Grub2 ile uyumlu değildir, neden cehennemde parça yerine PBR parçasını kullanarak programlamıyor musunuz? böylece şifreli pencereler (disk başına birden fazla pencere) ile çoklu önyükleme yapabilirsiniz !!!

0
Anonimo